Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

最新推荐文章于 2024-05-03 14:15:39 发布
最新推荐文章于 2024-05-03 14:15:39 发布
阅读量1.7k 收藏 13
点赞数 1
文章标签: 运维
原文链接:http://blog.51cto.com/14156658/2437858
版权

博文目录
一、IPSec 虚拟专用网故障排查
二、配置防火墙和路由器实现IPSec 虚拟专用网
三、总结

关于IPSec 虚拟专用网工作原理及概念,前面写过一篇博文:Cisco路由器IPSec 虚拟专用网原理与详细配置,博客里都有详细介绍,前面是在公司网关使用的是Cisco路由器的情况下来搭建虚拟专用网的,今天来配置一下在ASA防火墙上实现IPSec 虚拟专用网。

由于“Virtual Private Network”(请看首字母,就知道是什么了)是敏\感词,所以在博文中使用它的中文名字“虚拟专用网”来代替。

一、IPSec 虚拟专用网故障排查

IPSec 虚拟专用网在工作中应用很广泛,除了掌握如何组建IPSec对等体实现虚拟专用网通信,还应具备一定的故障排查能力。

1、"show crypto isakmp sa"命令

上面超链接的博文讲过,通过“show crypto isakmp sa”命令可以了解管理连接所处的状态(在此只介绍主模式)。

  • MM_NO-STATE:ISAKMP SA建立的初始状态,管理连接建立失败也会处于该状态。

  • MM_SA_SETUP:对等体之间ISAKMP策略协商成功后处于该状态。

  • MM_KEY_EXCH:对等体通过DH算法成功建立共享密钥,此时还没有进行设备验证。

  • MM_KEY_AUTH:对等体成功进行设备验证,之后会过渡到QM_IDLE状态。

  • QM_IDLE:管理连接成功建立,即将过渡到阶段2的数据连接建立过程。

2、"debug crypto isakmp"命令

如果希望更加详细地了解整个过程,可以使用“debug crypto isakmp”命令,该命令是工作中最常用诊断和排查管理连接出现问题的命令。

将路由器的加密算法有DES改为3DES,这时对等体间阶段1的加密算法显然不匹配,通过“debug crypto isakmp”命令可以很清楚地看到这点。如下图所示:
Cisco的ASA防火墙和路由器上实现IPSec虚拟专用网

路由器依然会逐条对比策略,之后发现,“Encryption algorthm offered does not match policy!”(加密算法不匹配),所以“atts are not acceptable”(策略不被接受)。然后路由器会与本地的默认策略进行对比,如果依然没有匹配的策略,就会得出结论“no offers accepted!”(没有策略匹配),最后路由器会回到“MM_NO_STATE”状态。

二、配置防火墙和路由器实现IPSec 虚拟专用网

1、网络环境如下:

最低0.47元/天 解锁文章
ccqeqo6397
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASA 实现 IPSec 虚拟专用网(内附故障排查)
看清所以看轻
11-09 2894
IPSec虚拟专用网原理及基础配置实例:https://blog.csdn.net/weixin_44907813/article/details/102941603 其实,防火墙路由器的配置非常相似,可以参考上方传送门,下方会介绍一个防火墙的配置实例 一、路由器的故障诊断排查 1、show crypto isakmp sa R1:show crypto isakmp sa ...
如何在ASA防火墙实现ipsec ***
weixin_38920945的博客
06-01 261
如何在ASA防火墙实现ipsec ***2017-05-30 22:10:51防火墙ASA实现原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。http://zpf666.blog.51cto.com/11248677/1930762博主QQ:819594300博客地址:http://zpf666.blog.51ct...
Cisco ASA防火墙实现IPSec 虚拟专用网,可跟做!!!
小健健的博客
11-05 1808
通过博文CIsco路由器实现IPSec 虚拟专用网原理及配置详解已经初步了解IPSec 虚拟专用网的原理以及如何在Cisco路由器实现IPSec 虚拟专用网技术。千万不要以为在CIsco路由器可以实现IPSec 虚拟专用网,在CIsco ASA防火墙也可以实现,虽然原理是一致的,但是其配置过程,稍微有一些不同。下面主要讲解一下如何在Cisco ASA 防火墙实现IPSec 虚拟专用网。 博...
思科防火墙查如何查看现有ipsec隧道信息
最新发布
玩人工智能的辣条哥的博客
05-03 418
思科ASA5555。
思科路由器配置命令(五)
kali_Chenye的博客
09-29 4737
一、 GRE配置 https://blog.csdn.net/weixin_33850890/article/details/89906543 1、实验拓扑 2、基本配置 R1(config)#int lo0 R1(config-if)#ip address 10.1.1.1 255.255.255.0 配置环回口地址当接入PC用 R1(config)#int e0/0 R1(config-if)#ip address 202.1.1.1 255.255.255.0 R1(config-if)#n
IPSec故障排除:了解和使用调试指令
weixin_42930696的博客
11-21 6350
跳转到页面内容跳转到页脚 产品 支持 合作伙伴与代理商 更多 CN ZH 搜索 登录 已有帐户? 个性化内容 您的产品和支持 登录 忘记了用户 ID 或密码? 管理帐户 需要帐户? 创建帐户 帮助 CN ZH 选择语言选项 已选国家/地区: Mainland China - 简体中文 All Countries / Regions North America Africa Asia Pacific...
思科路由器对接山石网科防火墙——IPSec.doc
08-18
思科路由器对接山石网科防火墙——IPSec.doc
思科ASA防火墙镜像文件 asa843
02-10
希望可以帮助到各位!
思科路由器和山石网科防火墙做GRE Over IPSec对接.doc
12-21
对于同一厂家的设备之间,比如思科路由器和思科防火墙、神码路由器和神码防火墙、华为路由器和华为防火墙做对接一般都比较容易,甚至同一厂家的同种设备之间做对接那就更轻松了。但是实际环境中我们总会遇到两个不同...
思科ASA防火墙端口映射
01-07
需求将内网主机10.24.11.216的80端口映射到外网19909端口 ASA5506X> en Password: ******** ASA5506X# conf t ASA5506X(config)# object network serverMES216_port80_map ASA5506X(config-network-object)# host ...
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
08-18
思科路由器对接山石网科防火墙——GRE Over IPSec.doc
cisco防火墙ipsec故障排除
05-28
cisco防火墙asa和pix上面配置ipsec 常见故障分析与故障排除方法
IKE协商建立IPSec Debug信息
weixin_34041003的博客
12-29 559
IKE协商建立IPSec Debug信息 Router1#debug crypto ipsec Router1#debug crypto isakmp Router1# Get acquire: 10.32.1.0/0.0.0.255 -> 10.32.2.0/0.0.0.255 , prot 0, port 0/0 Get acquire: negotiat...
ubuntu 10.4 使用 openswan 搭建 ipsec 基于RSA认证方式的环境搭建 排错记录
dainiao01的专栏
03-30 9143
附上 虚拟器 加载共享文件 方式 sudo mount -t vboxsf down /mnt/share 其中 虚拟机用的 oracle 的 virtualbox 所以文件系统是  vboxsf   前提 虚拟机安装增强功能 down 是 在虚拟机中的设备--》分配数据空间 查找win上的某个目录 数据空间命名为 down /mnt/share  挂载在 /mnt/share 目录
IPSEC ×××连接建立(IKE)详解
weixin_33725270的博客
10-13 1124
IPSEC构建站点到站点连接的基本过程对于站点到站点的会话,构建连接的基本过程如下:一个×××网关对等体发起了到另外一个远程的×××网关对等体的会话(触发流量)如果没有存在×××的连接,那么ISAKMP/IKE阶段1开始,两个对等体协商如何保护管理连接。Diffie-hellman用于为管理连接中的加密算法和HMAC功能来安全的共享密钥。在安全管理连接中来执行设备验证。ISA...
*** sa无连接是怎么回事啊
weixin_34393428的博客
12-14 152
1、情况是这样的,没有连接信息 Router#show crypto isakmp sa dst src state conn-id slot status Router# 其他显示是正常的 2、Router#show crypto isakmp policy Global IKE policy ...
Ipsec配置
LeslieLiangZ的博客
03-13 9452
Ipsec用于在数据传输过程中的加密协议 1. 搭建环境拓扑 2. 配置第一阶段:isakmp协商 需要配置的有isakmp协商的加密算法、验证算法、验证方式和共享密钥及可选的group值和生存时间Lifetime R1配置: R1(config)#crypto isakmp policy 1 定义策略 R1(config-isakmp)#encryption 3des 加密算法为3des R1...
IPSec ***冗余(HSRP):debug crypto isakmp会话成功建立的输出解析
weixin_33755847的博客
04-11 263
*Dec 4 04:47:48.455: ISAKMP:(0): SA request profile is (NULL)*Dec 4 04:47:48.459: ISAKMP: Created a peer struct for 192.1.1.1, peer port 500*Dec 4 04:47:48.459: ISAKMP: New peer created pee...
ASA防火墙穿越NAT设备与路由器ipsec***
weixin_34409357的博客
05-30 459
ASA防火墙穿越NAT设备与路由器ipsec×××一、 实验任务及思路:1.使用GNS3搭建拓扑(拓扑如下),R2路由器模拟ISP服务提供商,R1上配置PAT实现内网对Internet的访问,要求ASA防火墙与R3之间建立IPSec ×××,连接穿过NAT设备,配置实现两端对等体建立IPSec ×××连接。2. C1与C2先后互ping,比较ipsec×××连接情况二、...
启用ASA和PIX上的虚拟防火墙实用.pdf
01-17
本技术文件主要介绍了如何在Cisco ASA (Adaptive Security Appliance) 和 PIX ( Pix Firewall) 上启用虚拟防火墙(Virtual Firewall, 或称为Security Contexts)和透明式防火墙(Transparent or Layer 2 Firewall)的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值